Berechtigungen für ONTAP SMB lokale oder Domänenbenutzer oder -gruppen verwalten
Änderungen vorschlagen
PDFs
Fügen Sie Berechtigungen für lokale oder Domänenbenutzer oder -gruppen von ONTAP SMB hinzu
Sie können Benutzerrechte für lokale oder Domänenbenutzer oder -Gruppen verwalten, indem Sie Berechtigungen hinzufügen. Die hinzugefügten Berechtigungen überschreiben die Standardberechtigungen, die einem dieser Objekte zugewiesen sind. Dadurch erhalten Sie verbesserte Sicherheit, indem Sie die Berechtigungen eines Benutzers oder einer Gruppe anpassen können.
Der lokale Benutzer oder die Domänengruppe, zu der Berechtigungen hinzugefügt werden sollen, muss bereits vorhanden sein.
Beim Hinzufügen einer Berechtigung zu einem Objekt werden die Standardberechtigungen für diesen Benutzer oder diese Gruppe überschrieben. Beim Hinzufügen einer Berechtigung werden zuvor hinzugefügte Berechtigungen nicht entfernt.
Beim Hinzufügen von Berechtigungen zu lokalen oder Domänenbenutzern oder -Gruppen müssen Sie Folgendes beachten:
-
Sie können eine oder mehrere Berechtigungen hinzufügen.
-
Beim Hinzufügen von Berechtigungen zu einem Domänenbenutzer oder einer Gruppe kann ONTAP den Domänenbenutzer oder die Gruppe validieren, indem er sich an den Domänencontroller wenden kann.
Der Befehl schlägt möglicherweise fehl, wenn ONTAP den Domain-Controller nicht kontaktieren kann.
-
Fügen Sie einem lokalen Benutzer, einem Domänenbenutzer oder einer Gruppe eine oder mehrere Berechtigungen hinzu:
vserver cifs users-and-groups privilege add-privilege -vserver <SVM_name> -user-or-group-name <name> -privileges <privilege>[,...] -
Überprüfen Sie, ob dem Objekt die gewünschten Berechtigungen zugewiesen wurden:
vserver cifs users-and-groups privilege show -vserver <SVM_name> -user-or-group-name <name>
Im folgenden Beispiel werden die Berechtigungen „SeTcbPrivilege“ und „SeTakeownershipPrivilege“ für den Benutzer „CIFS_SERVER\sue“ auf Storage Virtual Machine (SVM, ehemals Vserver) vs1 hinzugefügt:
cluster1::> vserver cifs users-and-groups privilege add-privilege -vserver vs1 -user-or-group-name CIFS_SERVER\sue -privileges SeTcbPrivilege,SeTakeOwnershipPrivilege
cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver User or Group Name Privileges
--------- --------------------- ---------------
vs1 CIFS_SERVER\sue SeTcbPrivilege
SeTakeOwnershipPrivilege
Entfernen Sie Berechtigungen von lokalen oder Domänenbenutzern oder -gruppen von ONTAP SMB
Sie können Benutzerrechte für lokale oder Domänenbenutzer oder -Gruppen verwalten, indem Sie Berechtigungen entfernen. Dadurch erhalten Sie verbesserte Sicherheit, indem Sie die maximalen Berechtigungen von Benutzern und Gruppen anpassen können.
Der lokale Benutzer oder die Domänengruppe, aus der Berechtigungen entfernt werden sollen, muss bereits vorhanden sein.
Beim Entfernen von Berechtigungen von lokalen oder Domänenbenutzern oder -Gruppen müssen Sie Folgendes beachten:
-
Sie können eine oder mehrere Berechtigungen entfernen.
-
Wenn Sie Berechtigungen von einem Domänenbenutzer oder einer Gruppe entfernen, kann ONTAP den Domänenbenutzer oder die Gruppe validieren, indem Sie sich an den Domänencontroller wenden.
Der Befehl schlägt möglicherweise fehl, wenn ONTAP den Domain-Controller nicht kontaktieren kann.
-
Einem lokalen Benutzer, einem Domänenbenutzer oder einer Gruppe eine oder mehrere Berechtigungen entziehen:
vserver cifs users-and-groups privilege remove-privilege -vserver <SVM_name> -user-or-group-name <name> -privileges <privilege>[,...] -
Überprüfen Sie, ob die gewünschten Berechtigungen vom Objekt entfernt wurden:
vserver cifs users-and-groups privilege show -vserver <SVM_name> -user-or-group-name <name>
Im folgenden Beispiel werden die Berechtigungen „SeTcbPrivilege“ und „SeTakeownershipPrivilege“ des Benutzers „CIFS_SERVER\sue“ auf Storage Virtual Machine (SVM, ehemals Vserver) vs1 entfernt:
cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver User or Group Name Privileges
--------- --------------------- ---------------
vs1 CIFS_SERVER\sue SeTcbPrivilege
SeTakeOwnershipPrivilege
cluster1::> vserver cifs users-and-groups privilege remove-privilege -vserver vs1 -user-or-group-name CIFS_SERVER\sue -privileges SeTcbPrivilege,SeTakeOwnershipPrivilege
cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver User or Group Name Privileges
--------- --------------------- -------------------
vs1 CIFS_SERVER\sue -
Zurücksetzen der Berechtigungen für lokale oder Domänenbenutzer und -gruppen von ONTAP SMB
Sie können Berechtigungen für lokale Benutzer oder Domänenbenutzer und -Gruppen zurücksetzen. Dies kann nützlich sein, wenn Sie Änderungen an Berechtigungen für einen lokalen Benutzer oder eine Domänengruppe vorgenommen haben und diese Änderungen nicht mehr gewünscht oder erforderlich sind.
Beim Zurücksetzen der Berechtigungen für einen lokalen oder Domänenbenutzer oder eine Gruppe werden alle Berechtigungseinträge für dieses Objekt entfernt.
-
Setzen Sie die Berechtigungen für einen lokalen oder Domänenbenutzer oder eine lokale oder Domänengruppe zurück:
vserver cifs users-and-groups privilege reset-privilege -vserver <SVM_name> -user-or-group-name <name> -
Überprüfen Sie, ob die Berechtigungen für das Objekt zurückgesetzt wurden:
vserver cifs users-and-groups privilege show -vserver <SVM_name> -user-or-group-name <name>
Im folgenden Beispiel werden die Berechtigungen des Benutzers „CIFS_SERVER\sue“ auf der Storage Virtual Machine (SVM, früher als Vserver bezeichnet) vs1 zurückgesetzt. Standardmäßig verfügen normale Benutzer über keine Berechtigungen, die mit ihren Konten verknüpft sind:
cluster1::> vserver cifs users-and-groups privilege show
Vserver User or Group Name Privileges
--------- --------------------- ---------------
vs1 CIFS_SERVER\sue SeTcbPrivilege
SeTakeOwnershipPrivilege
cluster1::> vserver cifs users-and-groups privilege reset-privilege -vserver vs1 -user-or-group-name CIFS_SERVER\sue
cluster1::> vserver cifs users-and-groups privilege show
This table is currently empty.
Das folgende Beispiel setzt die Berechtigungen für die Gruppe „BUILTIN\Administrators“ zurück und entfernt damit effektiv den Eintrag für Berechtigungen:
cluster1::> vserver cifs users-and-groups privilege show
Vserver User or Group Name Privileges
--------- ------------------------ -------------------
vs1 BUILTIN\Administrators SeRestorePrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
cluster1::> vserver cifs users-and-groups privilege reset-privilege -vserver vs1 -user-or-group-name BUILTIN\Administrators
cluster1::> vserver cifs users-and-groups privilege show
This table is currently empty.
Informationen zum Überschreiben von ONTAP SMB-Berechtigungen anzeigen
Sie können Informationen über benutzerdefinierte Berechtigungen anzeigen, die Domänenkonten oder lokalen Benutzerkonten oder Gruppen zugewiesen sind. Anhand dieser Informationen können Sie feststellen, ob die gewünschten Benutzerrechte angewendet werden.
-
Führen Sie eine der folgenden Aktionen aus:
Wenn Sie Informationen über… anzeigen möchten Diesen Befehl eingeben… Benutzerdefinierte Berechtigungen für alle Domänen- und lokalen Benutzer und Gruppen auf der Storage Virtual Machine (SVM)
vserver cifs users-and-groups privilege show -vserver <SVM_name>Benutzerdefinierte Berechtigungen für eine bestimmte Domäne oder einen lokalen Benutzer und eine bestimmte Gruppe auf der SVM
vserver cifs users-and-groups privilege show -vserver <SVM_name> -user-or-group-name <name>Es gibt weitere optionale Parameter, die Sie bei der Ausführung dieses Befehls auswählen können. Erfahren Sie mehr über
vserver cifs users-and-groups privilege showin der "ONTAP-Befehlsreferenz".
Mit dem folgenden Befehl werden alle Berechtigungen angezeigt, die explizit lokalen oder Domänenbenutzern und Gruppen für SVM vs1 zugeordnet sind:
cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver User or Group Name Privileges
--------- --------------------- ---------------
vs1 BUILTIN\Administrators SeTakeOwnershipPrivilege
SeRestorePrivilege
vs1 CIFS_SERVER\sue SeTcbPrivilege
SeTakeOwnershipPrivilege